Опрос владельцам бизнеса, защищенность веб-приложений

[Igor V]

Цитата:

Сообщение от Rebz

Вообще я думал, что веб-сервер компании админится хостерами

Непонятно о какой безопасности Вы ведете речь если изначально предполагаете передать корпоративный веб-сайт включая БД абсолютно посторонним людям..

[pp_2010]

Цитата:

Сообщение от Rebz

5) Зачем вообще решать эту проблему?

Движка нет по определению. Только ручная работа.
Проблем нет.

[qkowlew]

1) Безработный. ))
2) Кратко: Обновления. Развёрнуто: Затраты времени и ресурсы, затрачиваемые на отслеживание и осуществление необходимых обновлений, после чего - на разгребание последствий оных обновлений (пример - PHP 5.2 -> PHP 5.3 -> PHP 5.4 на хостинге).
3) Рост затрат во времени.
3.1) Необходимость привлекать уже отошедших от дел разработчиков старого уже софта к тому, чтобы их софт продолжал работать в новых условиях. Или нанимать новых разработчиков.
3.2) Сокращается типичный интервал времени "от апдейта до апдейта"
3.3) Взаимозависимости софта таковы, что всякое обновление "неизвестно что ещё заденет", автоматические средства (развитые в UNIX'ах) всегда оказываются "немного" недостаточны.
4) Смены магистрального развития информационных систем на изменение воспитания поведения пользователей. Нереально в ближайшие 20 лет. Слишком велика инерция, и бизнес-паровоз вперёд летит.
5) Без этого неосуществим приемлемый уровень безопасности сколько-нибудь сложного проекта.
5.1) Неоднородность локальной сети, неоднородность используемого программного обеспечения не позволяют быть уверенными одновременно И в том, что "всё будет работать", И в том, что это достаточно безопасно.
5.2) Понимание оной проблемы - необходимо квалифицированному админу, иначе "ты админ или п...с?".

Добавлено через 8 минут

Цитата:

Сообщение от Rebz

Интересно.. А какие вообще меры здесь помогут? Попросить знакомых хакеров - пусть ломают?
Вообще я думал, что веб-сервер компании админится хостерами, обновлялки там всякие. Для интранета должны быть конечно местные админы.

Вы забыли самый главный пункт: Этот Опрос Сосёт

[SergejF]

Цитата:

Сообщение от MonAmur

Вы забыли спам-ссылку на свой сервис дать.

Так тс только вчера начал "заниматься аудитом безопасности сайтов". Вот, склепает на днях что-нибудь из 5 страниц и даст.

[Rebz]

Цитата:

Сообщение от Igor V

Непонятно о какой безопасности Вы ведете речь если изначально предполагаете передать корпоративный веб-сайт включая БД абсолютно посторонним людям..

Этот момент учтен. Есть же обязательства, встреча в реале, договора наконец. Это первое. Второе - никто не заставляет давать доступ к рабочему корп.веб-сайту, достаточно скинуть код, а БД заполнить тестовыми (фейковыми) данными. Но прежде, конечно же, должно быть партнерское доверие, без этого никак.

Цитата:

Сообщение от pp_2010

Движка нет по определению. Только ручная работа.
Проблем нет.

Как показывает практика, именно самописные движки имеют больше всего дырок. Если проблем нет, это не значит, что систему пока ещё никто не поимел)

Цитата:

Сообщение от SergejF

Так тс только вчера начал "заниматься аудитом безопасности сайтов". Вот, склепает на днях что-нибудь из 5 страниц и даст.

Спасибо за комментарий.
1) принципиально не пользуюсь спамом
2) whois домена покажет на 2009-ый год, я уже 4 года как занимаюсь аудитом, поэтому мимо.
3) есть клиенты и отзывы

[Rebz]

Спасибо всем ответившим за опрос и темку.
Хотелось бы поактивнее

Пока лидирует вариант про безопасность - "Да, у меня СMS, слежу за обновлениями сам, стараюсь своевременно обновляться".

Я правильно понимаю, что многим не по карману иметь отдельного специалиста по безопасности, и каждый интернет-предприниматель "и швец, и жнец, и на игре дудец"?

[qkowlew]

Цитата:

Сообщение от Rebz

каждый интернет-предприниматель "и швец, и жнец, и на игре дудец"?

Обобщаете (выделение моё).
Причём на демонстративно малом статистическом материале деллаете решительные выводы.

Цитата:

Сообщение от Rebz

Как показывает практика, именно самописные движки имеют больше всего дырок.

Уже по этим двум цитатам я бы не смог бы рекомендовать Вас никому из знакомых клиентов как возможного специалиста по аудиту безопасности.

Моя практика говорит несколько другое.

[Asterada]

Цитата:

Сообщение от Rebz

многим не по карману иметь отдельного специалиста по безопасности

Многим не нужна лишняя прокладка между собой и своими ресурсами. Аналогичной прокладкой являются риэлторы.

[badimao]

Цитата:

Сообщение от qkowlew

Уже по этим двум цитатам я бы не смог бы рекомендовать Вас никому из знакомых клиентов как возможного специалиста по аудиту безопасности.

Моя практика говорит несколько другое.

соглашусь.
Самопис ломается только при очевидных косяках.
целенаправлено взламывать сайтик на неизвестной cms ни кто не будет. это не выгодно.
ну а если уж все таки стоит цель сломать конкретный сайт - ни кто и ни что не остановит злоумышленика.

[D.iK.iJ]